Template-Problem und Lösung

Eine Unschönheit ist bekannt geworden: Ein Fehler im Suchfeld mancher Templates kann beim Browser Firefox für Phishing missbraucht werden. Etwa 8 ältere Templates + alle davon abgeleiteten Versionen sind betroffen.
Mehr dazu plus Lösungsmöglichkeiten

Das Problem ist nicht gravierend: Die Website kann damit nicht gehackt werden. Aber: Unter bestimmten Umständen (Browser: Firefox, Hoster ohne XSS-Filter) kann „Spuk“ erzeugt werden, um damit Menschen in die Irre zu führen.
Es sollte daher behoben werden. Die gute Nachricht: Das ist einfach.

Bin ich betroffen?

1) Gibt es ein Suchfeld auf jeder Seite? Um dieses geht es.
2) Hier gibt es einen einfachen Test. Es MUSS dazu Firefox benutzt werden, andere Browser ignorieren den Fehler.

Wenn ja - Lösungen:

Das einfachste ist zunächst, die Suche auszuschalten:
Verwaltung >> Grundeinstellungen >> Erweiterte Optionen anzeigen >> Einstellungen für die Suche > Sichtbarkeit: Auf „privat“ oder „keine“ stellen, speichern.

Wenn die Suche bleiben soll, muss der Fehler direkt gesucht und geändert werden. 

Suche in der Index.php des Templates nach 
echo strip_tags($_GET['string']);
ersetze strip_tags durch htmlspecialchars
Das ist nicht die beste Lösung, aber die einfachste.

Viel  besser ist es , das PHP-Schnippel in value="<?php... ?>" rauszuwerfen, also nur value="" übrig zu lassen.

 

Warum lässt sich das nicht einfach per Upgrade beseitigen?

Weil kaum ein Template im "Werkszustand" ist - auf diesen würde ein Upgrade aber zurücksetzen.
Die Reparatur ist einfach, auch ohne PHP-Kenntnisse möglich.

Was kann im schlimmen Fall passieren?

Ein Hackerangriff ist so nicht möglich, aber es kann die Sprosse einer Leiter sein, um Leute zu unüberlegten Handlungen zu bringen. Auf der Website einer Bank (Onlinebanking) wäre so ein Fehler eine Katastrophe.
Bei den Websites von Vereinen oder FIrmen ist die Gefahr überschaubar und würde kaum ausgenutzt werden. Da gibt es lohnendere Ziele.

Wurde das Problem an Firefox gemeldet? Gibt es da ein Update?

Nein, das Problem ist bekannt und es wird kein Update dazu geben. Man steht sinngemaß auf dem Standpunkt: "Wir machen alles richtig, aber die Webentwickler machen es falsch."

Ich kann das nicht - wer kann mir helfen?

Wende dich direkt an mich:
Christian (Chio) Maisriml - media(at)beesign(dot)com
Ich werde die FTP-Zugangsdaten oder zumindest Admin-Zugang brauchen.
 

Zurück

Kommentare:

Vorbildlich! &#128077;

Christian 10.07.2019
Antworten

Danke!
Für die Emojis (zb &#128077) hab ich leider noch keine vernünftige Lösung gefunden :))

Chio 10.07.2019
Antworten